Roya

نظام إدارة أمن المعلومات: مقدمة إلى ISO 27001

السيناريو الحالي: تعتمد المؤسسات الحالية اعتمادًا كبيرًا على أنظمة المعلومات لإدارة الأعمال وتقديم المنتجات / الخدمات. يعتمدون على تكنولوجيا المعلومات في التطوير والإنتاج والتسليم في مختلف التطبيقات الداخلية. يتضمن التطبيق قواعد البيانات المالية ، وحجز وقت الموظفين ، وتوفير مكتب المساعدة والخدمات الأخرى ، وتوفير الوصول عن بعد للعملاء / الموظفين ، والوصول عن بعد لأنظمة العملاء ، والتفاعلات مع العالم الخارجي من خلال البريد الإلكتروني ، والإنترنت ، واستخدام الأطراف الثالثة والموردين الخارجيين.

متطلبات العمل:مطلوب أمن المعلومات كجزء من العقد بين العميل والعميل. يريد التسويق ميزة تنافسية ويمكن أن يمنح بناء الثقة للعميل. تريد الإدارة العليا معرفة حالة انقطاع البنية التحتية لتكنولوجيا المعلومات أو انتهاكات المعلومات أو حوادث المعلومات داخل المؤسسة. يجب تلبية المتطلبات القانونية مثل قانون حماية البيانات وحقوق التأليف والنشر والتصاميم وبراءات الاختراع والمتطلبات التنظيمية للمؤسسة وحمايتها بشكل جيد. إن حماية نظم المعلومات والمعلومات لتلبية المتطلبات التجارية والقانونية من خلال توفير وعرض بيئة آمنة للعملاء ، وإدارة الأمن بين مشاريع العملاء المتنافسين ، ومنع تسرب المعلومات السرية هي أكبر التحديات التي تواجه نظام المعلومات.

تعريف المعلومات: المعلومات هي أحد الأصول التي تعتبر ذات قيمة للمؤسسة مثل الأصول التجارية الهامة الأخرى وبالتالي تحتاج إلى الحماية المناسبة. مهما كانت الأشكال التي تتخذها المعلومات أو الوسائل التي يتم من خلالها مشاركتها أو تخزينها ، يجب دائمًا حماية هذه المعلومات بشكل مناسب.

أشكال المعلومات: يمكن تخزين المعلومات إلكترونيًا. يمكن أن ينتقل عبر الشبكة. يمكن عرضها على مقاطع الفيديو ويمكن أن تكون شفهية.

تهديدات المعلومات:يُعد مجرمو الإنترنت ، والمتسللون ، والبرامج الضارة ، وأحصنة طروادة ، والخداع ، ومرسلي البريد العشوائي من التهديدات الرئيسية لنظام المعلومات لدينا. وجدت الدراسة أن غالبية الأشخاص الذين ارتكبوا التخريب كانوا من العاملين في مجال تكنولوجيا المعلومات الذين أظهروا خصائص بما في ذلك الجدال مع زملاء العمل ، والشعور بجنون العظمة والاستياء ، والحضور إلى العمل في وقت متأخر ، وإظهار أداء عمل عام ضعيف. من بين المجرمين الإلكترونيين ، كان 86٪ منهم في مناصب فنية و 90٪ لديهم وصول إداري أو امتياز إلى أنظمة الشركة. معظم الجرائم التي ارتكبت بعد إنهاء عملهم ، لكن 41٪ قاموا بتخريب الأنظمة بينما كانوا لا يزالون موظفين في الشركة ، ويمكن أن تسبب الكوارث الطبيعية مثل العواصف والأعاصير والفيضانات أضرارًا جسيمة لنظام المعلومات لدينا.

حوادث أمن المعلومات: يمكن أن تتسبب حوادث أمن المعلومات في تعطيل الروتين والعمليات التنظيمية ، وانخفاض قيمة المساهمين ، وفقدان الخصوصية ، وفقدان الميزة التنافسية ، وإلحاق الضرر بالسمعة مما يتسبب في انخفاض قيمة العلامة التجارية ، وفقدان الثقة في تكنولوجيا المعلومات ، والإنفاق على أصول أمن المعلومات للبيانات التالفة ، أو المسروقة ، أو التالفة أو ضاع في الحوادث ، أو انخفاض الربحية ، أو الإصابة ، أو فقدان الأرواح في حالة فشل أنظمة السلامة الحرجة.

بعض الأسئلة الأساسية:

• هل لدينا سياسة أمن تكنولوجيا المعلومات؟

• هل سبق أن قمنا بتحليل التهديدات / المخاطر التي تتعرض لها أنشطة تكنولوجيا المعلومات والبنية التحتية لدينا؟

• هل نحن جاهزون لأية كوارث طبيعية مثل الفيضانات والزلازل وغيرها؟

• هل جميع أصولنا مؤمنة؟

• هل نحن واثقون من أن البنية التحتية / الشبكة الأساسية لتكنولوجيا المعلومات لدينا آمنة؟

• هل بيانات أعمالنا آمنة؟

• هل شبكة هاتف IP آمنة؟

• هل نقوم بتهيئة ميزات أمان التطبيق أو الحفاظ عليها؟

• هل لدينا بيئة شبكة منفصلة لتطوير التطبيقات والاختبار وخادم الإنتاج؟

• هل منسقي المكاتب مدربون على أي اختراق أمني مادي؟

• هل لدينا سيطرة على توزيع البرامج / المعلومات؟

مقدمة إلى ISO 27001:في الأعمال التجارية ، فإن الحصول على المعلومات الصحيحة للشخص المرخص له في الوقت المناسب يمكن أن يحدث فرقًا بين الربح والخسارة والنجاح والفشل.

هناك ثلاثة جوانب لأمن المعلومات:

سرية: حماية المعلومات من الكشف غير المصرح به ، ربما لمنافس أو للصحافة.

التكامل: حماية المعلومات من التعديل غير المصرح به ، والتأكد من أن المعلومات ، مثل قائمة الأسعار ، دقيقة وكاملة

التوفر: التأكد من توفر المعلومات عند الحاجة إليها. يعد ضمان سرية المعلومات وسلامتها وتوافرها أمرًا ضروريًا للحفاظ على الميزة التنافسية والتدفق النقدي والربحية والامتثال القانوني والصورة التجارية والعلامة التجارية.

نظام إدارة أمن المعلومات (ISMS): هذا هو جزء من نظام الإدارة الشامل القائم على نهج مخاطر الأعمال لإنشاء وتنفيذ وتشغيل ومراقبة ومراجعة وصيانة وتحسين أمن المعلومات. يشمل نظام الإدارة الهيكل التنظيمي والسياسات وأنشطة التخطيط والمسؤوليات والممارسات والإجراءات والعمليات والموارد.

حول ISO 27001: – معيار دولي رائد لإدارة أمن المعلومات. تم اعتماد أكثر من 12000 منظمة حول العالم وفقًا لهذا المعيار. والغرض منه هو حماية سرية المعلومات وسلامتها وتوافرها. لا يتم عادةً تدقيق ضوابط الأمان الفنية مثل برامج مكافحة الفيروسات والجدران النارية في عمليات تدقيق شهادات ISO / IEC 27001: يُفترض أساسًا أن المنظمة قد اعتمدت جميع ضوابط أمن المعلومات الضرورية. لا تركز فقط على تكنولوجيا المعلومات ولكن أيضا على الأصول الهامة الأخرى في المنظمة. يركز على جميع العمليات التجارية والأصول التجارية. قد تكون المعلومات مرتبطة بتكنولوجيا المعلومات وقد لا تكون كذلك وقد تكون أو لا تكون في شكل رقمي. تم نشره لأول مرة كقانون الممارسة الخاص بوزارة التجارة والصناعة (DTI) في المملكة المتحدة والمعروف باسم BS 7799. يتكون ISO 27001 من جزأين ISO / IEC 27002 و ISO / IEC 27001

ISO / IEC 27002: 2005: هي مدونة ممارسة لإدارة أمن المعلومات. يوفر إرشادات حول أفضل الممارسات. يمكن استخدامه على النحو المطلوب في عملك. انها ليست للشهادة.

ISO / IEC 27001: 2005:يتم استخدامه كأساس للشهادة. إنه برنامج إدارة شيء + إدارة مخاطر. يحتوي على 11 مجال أمان و 39 هدفًا أمنيًا و 133 عنصر تحكم.

ISO / IEC 27001: يحتوي المعيار على الأقسام الرئيسية التالية:

  • تقييم المخاطر
  • نهج الأمان
  • إدارة الأصول
  • أمن الموارد البشرية
  • الأمن المادي والبيئي
  • إدارة الاتصالات والعمليات
  • صلاحية التحكم صلاحية الدخول
  • اقتناء نظم المعلومات وتطويرها وصيانتها
  • إدارة حوادث أمن المعلومات
  • إدارة استمرارية العمل
  • الالتزام

فوائد أنظمة إدارة أمن المعلومات (ISMS):مزايا تنافسية: يستجيب شركاء العمل والعملاء بشكل إيجابي للشركات الجديرة بالثقة. سيظهر وجود ISMS النضج والجدارة بالثقة. ستشترك بعض الشركات فقط مع أولئك الذين لديهم ISMS. يمكن أن يؤدي تطبيق ISMS إلى الكفاءة في العمليات ، مما يؤدي إلى انخفاض تكاليف ممارسة الأعمال التجارية. قد تكون الشركات التي لديها ISMS قادرة على المنافسة على الأسعار أيضًا.

أسباب ISO 27001: هناك أسباب واضحة لتطبيق نظام إدارة أمن المعلومات (ISO 27001). يفي معيار ISO 27001 بالامتثال القانوني أو التنظيمي. أصول المعلومات مهمة جدا وقيمة لأي منظمة. يجب تطوير ثقة المساهمين ، وشريك الأعمال ، والعملاء في تقنية المعلومات الخاصة بالمنظمة للاستفادة من مزايا الأعمال. تُظهر شهادة ISO 27001 أن أصول المعلومات تُدار بشكل جيد مع مراعاة جوانب الأمان والسرية والتوافر لأصول المعلومات.

تأسيس ISMS:أمن المعلومات – تحدي إدارة أم مشكلة فنية؟ يجب أن يُنظر إلى أمن المعلومات على أنه تحدٍ إداري وتجاري ، وليس مجرد مسألة فنية يتم تسليمها إلى الخبراء. للحفاظ على أمان عملك ، يجب أن تفهم كلاً من المشاكل والحلول. لتأسيس إدارة ISMS تلعب دور 80٪ و 20٪ مسؤولية نظام التكنولوجيا.

بداية: – قبل البدء في إنشاء ISMS ، تحتاج إلى الحصول على موافقة من الإدارة / أصحاب المصلحة. عليك أن ترى ما إذا كنت تحاول القيام بذلك لمنظمة كاملة أم لجزء منها فقط. يجب عليك تجميع فريق من أصحاب المصلحة والمهنيين المهرة. يمكنك اختيار استكمال الفريق بمستشارين من ذوي الخبرة في التنفيذ.

شهادة ISMS (ISO 27001): تحقق مستقل من قبل طرف ثالث لضمان أمن المعلومات الخاص بالمنظمة بناءً على معايير ISO 27001: 2005.

الاعتماد المسبق: المرحلة 1 – تدقيق التوثيق

المرحلة الثانية – تدقيق التنفيذ

شهادة ما بعد: مراقبة مستمرة لمدة سنتين إعادة تقييم / إعادة شهادة

خاتمة: قبل تنفيذ نظام إدارة ضوابط أمن المعلومات ، تمتلك المؤسسة العديد من أدوات التحكم في الأوراق المالية على نظام المعلومات ، وتميل هذه الضوابط الأمنية إلى أن تكون غير منظمة ومفككة إلى حد ما. المعلومات ، كونها أحد الأصول الهامة للغاية لأي منظمة تحتاج إلى حماية جيدة من التسريب أو الاختراق. ISO / IEC 27001 هو معيار لنظام إدارة أمن المعلومات (ISMS) يضمن تكييف العمليات المدارة بشكل جيد لأمن المعلومات. يؤدي تطبيق ISMS إلى الكفاءة في العمليات مما يؤدي إلى خفض تكاليف ممارسة الأعمال التجارية.